我国网络信息保护面临的挑战及应对措施

--

我国网络信息保护面临的挑战及应对措施

【摘要】近年来，我国网络信息面临的安全风险不断

加大,个人信息泄露事件频发,各种新型网络攻击不断出现,造

成的影响日益严重。本文首先介绍了我国网络信息保护面临

的严峻形势，分析了我国在网络信息保护方面存在的问题,

结合世界各国在网络信息保护方面的做法,提出我国应采取

的措施建议。

【关键词】信息安全；网络信息保护；电子身份证;措施

建议

【中图分类号】O２42;F8３0.9【文献标识码】A

１引言

20１3年６月份，美国国家安全局被曝出“棱镜门”事件，

谷歌、微软、思科、Facｅbook等数千家科技、金融以及制

造公司与美国国家安全局密切合作，为其提供敏感信息。同

时,美国国安局旗下设有一个部门，名为“定制入口行动办公

室”（TAO），过去近15年中一直从事侵入中国境内电脑和

通讯系统的网络攻击,借此获取有关中国的有价值情报。这一

事件给我国网络信息安全敲响了警钟。

据统计，201２年我国约有2．57亿人遭受网络犯罪侵害,

所蒙受的直接经济损失达人民币2,890亿元。

--

--

为了保护网络信息安全，保障公民、法人和其他组织的

合法权益，维护国家安全和社会公共利益,全国人大常委会于

２０1２年12月28日通过了《关于加强网络信息保护的决

定》,我国首个个人信息保护国家标准也于20１3年２月1日

正式实施。在当前环境下，做好网络信息保护工作，实现我

国网络信息保护相关政策平稳落地,对于保障广大人民众

的合法权益，促进我国网络经济健康持续发展具有重要意

义。

2网络信息保护概述

2.１基本概念

这里所提到的网络信息，与通常所讲的个人信息含义相

当。在《关于加强网络信息保护的决定》中明确规定,“国家

保护能够识别公民个人身份和涉及公民个人隐私的电子信

息。”而在个人信息保护国家标准中，将个人信息定义为:可

为信息系统所处理、与特定自然人相关、能够通过与其他信

息相结合识别该特定自然人的计算机数据。

实际上,在法律范畴内,个人信息通常是指自然人所的在在

有的，能够直接或间接识别其本人的特定资料所反映出来的

内容,其具有人格属性。个人信息隐私权则兼具人格权与财产

权双重属性。在当前信息时代中,个人信息也是一种财产类

型。

2.2核心问题

--

--

网络信息保护中最核心的内容主要包括三个方面:一是法

律,个人信息涉及到隐私和财务权，必须有专门的法律来参考

执行;二是监管，在信息社会中，个人信息产生的纠纷大幅增

加，需要专门的监管部门来管理;三是实施，就是技术支撑体

系,在网络环境下,我们需要各种技术手段来保障个人信息不

被窃取、盗用、冒用等，而且要在出现上述情况后追踪到犯

罪分子并提供相关证据，当前主要基于公钥基础基础设施(Ｐ

KI)相关技术体系实现。

3我国面临的主要问题

3.1政策法规标准体系尚不健全

我国目前在网络信息保护方面还未形成健全的政策法规

标准体系。在法律方面,我国涉及个人信息保护的法律有近

40部，法规３０部，但都是零散的法律条文,《关于加强网

络信息保护的决定》可以看成第一部个人信息保护立法，但

如何正确使用这部法律,怎样将这部法律与当前法律体融合

起来,从而有效解决个人信息保护中存在的问题，这都需要进

一步完善。在标准体系方面,我国首个个人信息保护国家标准

已正式实施,但该标准只是指导性技术文件,在网络信息保护

方面的作用有限,网络信息保护相关的标准体系仍有待完善。

３.2网络信息保护监管有待加强

我国目前在网络信息保护方面缺乏足够的监管,这也是个

人信息泄露频发的一个重要原因。首先，我国个人信息保护

--

--

面临工业和信息化部、公安部、国家保密局、国家密码管理

局、卫生部等相关部门之间交叉管理的问题,缺少一个从整体

上统一协调个人信息保护工作的专门机构。其次，没有形成

对侵害公民个人信息犯罪进行治理的长效机制，2012年初公

安部统一部署的集中治理行动取得了丰硕成果，但打击侵害

公民个人信息犯罪还没有固化到日常工作中。最后，没有对

涉及公民个人信息的互联网企业实现有效监管，包括企业收

集公民个人信息的流程是否合规，涉及个人信息的用户协议

条款是否完善,以及企业是否具备相应的安全级别等。

3.3技术服务支撑体系亟待建设

我国目前还没有形成能够全面支撑网络信息保护的技术

服务支撑体系。首先,尚未建立有效的网络身份管理体系。从

根本上讲，网络信息保护是为了明确各主体在网络空间的权

利和责任，在具体实施过程中则需要确定现实世界中的对应

主体，这就需要完善的网络身份管理体系。其次,尚未形成覆

盖全面的网络身份信任服务体系。网络应用种类繁多，网络

主体身份多种多样，网络身份管理体系是否能够得到广泛应

用,直接关系到网络信息保护能够有效实施，网络身份信任服

务体系必不可少。最后,网络信息保护技术支撑体系有待完

善。随着互联网应用的日益深入,网络上存储和流传的信息种

类和数量不断增多，需要严格保障网络信息存储和使用的安

全性，并保证网络信息的可追溯性,为网络信息被侵害提供取

--

--

证和鉴证技术支撑。

4国际上的主要做法

4.1建立完善的个人信息保护法律体系

目前,世界上已经有７0多个国家和组织制定了个人信息

保护相关法律法规。美国通过了一批个人信息保护相关的法

律，如《隐私权法》、《信息保护和安全法》、《消费者隐私保

护法》、《反网络欺诈法》等;欧盟先后制定了《关于涉及个人

数据处理的个人保护以及此类数据自由流动的指令》、《关于

个人数据自动化处理之个人保护公约》和《关于保护自动化

处理过程中个人数据的条例》;英国制定了《数据保护法》;

德国制定了《联邦数据保护法》；加拿大制定了《隐私保护

法》和《个人信息保护及电子文档法案》;日本制定了《个人

信息保护法》。由于互联网应用模式多种多样，各国仍在不

断丰富自己的法律体系,以确保满足网络信息保护的具体要

求。4.2成立专门的个人信息保护监管机构

个人信息保护是政府部门的管理职责，很多国家都设立

了具体的机构来负责保护消费者信息和企业信息安全的职

责。欧盟在网络个人隐私的保护方面订立了非常严格的保护

标准,并设立了特别委员会以执行此项工作。德国创设了联邦

数据保护专员制度，美国、日本、澳大利亚有综合性的机构

内设部门或专门设立隐私专员(如韩国的个人信息调解委员

会和澳大利亚的隐私专员)予以管理,显示出个人信息保护的

--

--

普遍性和社会性。韩国由行业监管机构――韩国通信委员会

及互联网与安全局，具体执行消费者信息保护。

4．3启动有效的网络身份管理体系建设

为了确保对网络身份有效管理，实现相互信任的网络环

境,美欧等国家都建立了各具特的网络身份管理体系，如美

国的网络身份生态体系、欧盟的电子身份证等。首先，以国

家力量研究网络身份管理体系。欧盟于2002年的第六框架

计划开始进行身份管理相关的研究，为推广电子身份证打下

坚实的基础。其次,通过国家政策全面推动网络身份管理体系

建设。美国政府通过发布《网络空间可信身份国家战略》（S

ＴIC),启动对网络身份生态体系的建设。欧盟则推出了电子

签名计划,电子身份证是计划中一项重要的试点工作。最后，

构建了较完善的基础设施。各国的网络身份管理体系基本上

都是基于公钥基础设施（PKＩ），美国政府建立了完善的联

邦PKＩ体系，包括联邦桥ＣA、联邦通用策略框架ＣA、电

子政务CA、公众及商务类通用ＣA等。欧盟各国在推行电

子身份证的过程中都建设了专门的基础设施，如德国的

CSCA和CVCA。

4.4启动针对性网络信任服务应用推广

网络信任服务是在网络身份管理体系基础上提供的身

份认证、属性验证等服务，欧美等国通过积极推进网络信任

服务应用，从而为网络信息保护打造良好的环境。欧美等国

--

--

都采取政府引导,企业实施的公私合作模式,通过在特定领域

开展试点工作等方式，积极推广网络信任服务。欧盟在数字

签名计划框架下推出大量覆盖欧洲的试点工作,如公民的电

子身份证(SＴＯRK）、泛欧洲在线公共采购（ＰEPPOL）等。

美国在推出ISTC战略后很快就推出五项试点工作,包括在

线身份系统、在线交易系统、在线医疗及教育等。这些试点

工作既能推广网络信任服务,又可以验证技术体系的安全性，

为建立安全可信的网络打下基础。

5我国加强网络信息保护的措施建议

５．１完善法律法规体系

有法可依是加强网络信息保护的基础,应进一步完善我国

个人信息保护法律法规体系。《关于加强网络信息保护的决

定》已经规范了网络空间主体的权利和义务，明确了相关主

体应当承担的法律责任和义务，各相关部门应尽快建立配套

的行政法规和部门规章,并出台实施细则，为网络身份保护的

实施提供依据。

5.２加大行业监管力度

成立专门的网络信息保护机构,建立跨部门、跨区域的协

调机制，协调各职能部门在网络身份管理、互联网行业监管

等各项工作中的分工合作。加强个人信息保护执法队伍建设,

加大对非法泄露和倒卖公民个人信息行为的打击力度。加强

对涉及个人电子信息相关单位的监管，设立专门的机构接受

--

--

网络用户申诉、投诉,建立有效的互联网行业审查制度,对在

业务活动中收集公民个人信息的网络服务提供者和其他企

事业单位进行监督管理。

5.3打造网络信任体系

借鉴欧美等国的网络身份管理体系,以电子认证服务业为

基础,建立网络身份信任体系,为网络信息保护提供安全可

靠、隐私保护、方便快捷的网络身份服务。协调公安部、人

社部、教育部、银行等部门，实现现有身份信息的有条件开

放，在不改变现实社会身份信息管理格局的前提下，为网络

身份与真实身份的绑定提供权威依据。基于现有电子认证服

务基础设施,坚持统一规划、分布部署的原则，建立覆盖全国

各地的网络身份管理服务网络。完善网络身份信任服务标准

体系,制定网络身份申请、核验、管理、应用等方面的技术标

准,实现网络身份信任服务的规范化、标准化。

5．4积极推广示范应用

大力推广网络信任服务应用，为网络信息保护构建良好

环境。采取政府引导企业主导的方式,从电子政务、电子商务

等现实生活中对身份要求较高的领域着手试点应用，逐步向

整个网络空间推广。充分利用市场化机制推广应用,以服务代

替管理可以消除人们对“互联网监管”的疑虑,而且可以大大

提高用户的体验,有助于应用推广。在重点领域和行业率先开

展应用试点工程,不断深化拓展应用,完善相关管理制度和规

--

--

范，加强工程管理，及时发现和反馈工程实施中存在的问题，

总结成功经验，进一步完善网络信任服务体系建设。

５.5营造良好社会氛围

加强个人信息保护宣传力度,充分利用广播、电视、报刊、

网络等各种媒体，广泛开展面向全社会的个人信息保护宣传

教育。采取讲座、论坛、研讨会等多种形式宣传《关于加强

网络信息保护的决定》、《电子签名法》等相关政策法规，进

一步普及个人信息保护、电子签名与认证电子认证相关知

识。大力宣传网络身份信任服务,提高社会公众利用网络主体

身份认证服务、网络主体属性认证服务保护自身权益的意识

和能力，营造有利于网络身份信任体系建设的良好氛围。

6结束语

面对日益严峻的网络信息保护形势，我国应采取针对性措

施,实现网络信息保护的真正落地。本文介绍了网络信息保护

的背景和相关概念,分析了我国网络信息保护所面临的挑战

和问题,通过研究世界各国在网络信息保护方面的具体做法,

提出了我国加强网络信息保护的措施建议。

参考文献

[１］GB/Z２8８28－２012,信息安全技术公共及商

用服务信息系统个人信息保护指南[S］.２012.

[2]陈玉莲，沈?D，雷子君.个人信息保护机制的构建[J].

河北公安警察职业学院学报，2009,第9卷（第1期）.

--

--

[3］洪海林.个人信息财产化及其法律规制研究［J].四

川大学学报，2０06年,第5期．

[4]张春生.中国电子认证服务业发展蓝皮书[Ｍ]．北京：

中央文献出版社，2013．

［5]芳芳.国外PＫI/ＣA体系发展状况的研究[Ｊ］.计

算机安全,2０01年，第９期．

基金项目：

本课题得到国家高技术研究发展计划(8６3计划）Ｎｏ.2

０12AA０1A４０3支持。

作者简介：

王闯（19８4－）,男，博士,助理研究员，工业和信息化

部赛迪智库信息安全研究所工作,主要从事计算机应用技术、

电子认证、信息安全战略、信息安全产业等领域的研究工作。

冯伟,男，博士,工业和信息化部赛迪智库信息安全研究所

工作，主要从事通信、电子认证、信息安全、工业控制信息

安全等领域工作。

--